Los desarrolladores de Signal, la aplicacion de mensajería abierta, han revelado información sobre un ataque dirigido destinado a obtener el control de las cuentas de algunos usuarios.
Como tal el ataque no estaba dirigido al 100% a la aplicacion, sino que se derivó de un ataque que se llevó a cabo mediante phishing al servicio Twilio utilizado por Signal para organizar el envío de mensajes SMS con códigos de confirmación.
Recientemente, Twilio, la empresa que brinda servicios de verificación de números de teléfono a Signal, sufrió un ataque de phishing . Esto es lo que nuestros usuarios necesitan saber:
Todos los usuarios pueden estar seguros de que su historial de mensajes, listas de contactos, información de perfil, a quién bloquearon y otros datos personales permanecerán privados y seguros y no se verán afectados.
Para aproximadamente 1900 usuarios, un atacante podría haber intentado volver a registrar su número en otro dispositivo o haberse enterado de que su número estaba registrado en Signal. Desde entonces, este ataque ha sido cerrado por Twilio. 1900 usuarios es un porcentaje muy pequeño del total de usuarios de Signal, lo que significa que la mayoría no se vio afectada.
El análisis de datos mostró que el hackeo de Twilio podría haber afectado a unos 1900 números de teléfono de usuarios de Signal, para los cuales los atacantes pudieron volver a registrar números de teléfono en otro dispositivo y luego recibir o enviar mensajes para el número de teléfono asociado (acceso al historial de correspondencia pasada, información de perfil e información de dirección) no se pudo recuperar porque dicha información se almacena en el dispositivo del usuario y no se transmite a los servidores de Signal).
Estamos notificando a estos 1900 usuarios directamente y pidiéndoles que vuelvan a registrar Signal en sus dispositivos. Si recibiste un mensaje SMS de Signal con un enlace a este artículo de soporte, sigue estos pasos :
Abre Signal en tu teléfono y vuelve a registrar tu cuenta de Signal si la aplicación te lo solicita.
Para proteger mejor su cuenta, le recomendamos que habilite el bloqueo de registro en la configuración de la aplicación. Creamos esta característica para proteger a los usuarios contra amenazas como el ataque Twilio.
Entre el momento del hackeo y el bloqueo de la cuenta de empleado comprometida utilizada por el servicio Twilio para el ataque, se observó actividad en los 1900 números de teléfono que estaban asociados con el registro de una cuenta o el envío de un código de verificación por SMS. Al mismo tiempo, habiendo obtenido acceso a la interfaz de servicio de Twilio, los atacantes estaban interesados en tres números de usuario específicos de Signal, y al menos uno de los teléfonos pudo vincularse al dispositivo de los atacantes, a juzgar por la queja recibida del propietario de la cuenta afectada. Signal envió notificaciones por SMS sobre el incidente a todos los usuarios potencialmente afectados por el ataque y anuló el registro de sus dispositivos.
Es importante destacar que esto no le dio al atacante acceso a ningún historial de mensajes, información de perfil o listas de contactos. El historial de mensajes se almacena solo en tu dispositivo y Signal no guarda una copia del mismo. Tus listas de contactos, información de perfil, a quién has bloqueado y más solo se pueden recuperar con tu PIN de Signal al que no se accedió (y no se pudo) como parte de este incidente. Sin embargo, en el caso de que un atacante pudiera volver a registrar una cuenta, podría enviar y recibir mensajes de Signal desde ese número de teléfono.
Twilio fue hackeado utilizando técnicas de ingeniería social que permitieron a los atacantes atraer a uno de los empleados de la empresa a una página de phishing y obtener acceso a su cuenta de atención al cliente.
Específicamente, los atacantes enviaron mensajes SMS a los empleados de Twilio alertándolos sobre el vencimiento de la cuenta o los cambios de horario, con un enlace a una página falsa estilizada como una interfaz de inicio de sesión único para los servicios de utilidades de Twilio. Según Twilio, al conectarse a la interfaz del servicio de asistencia, los atacantes lograron acceder a los datos asociados con 125 usuarios.
Finalmente si estás interesado en poder conocer más al respecto, puedes consultar los detalles en el siguiente enlace.